美国NSA安全运营关键原则
2023-5-15 18:42:19 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

美国国家安全局的网络安全威胁运营中心(NSA’s Cybersecurity Threat Operations Center)简称NCTOC,是NSA执行7x24小时一年365天不间断网络安全运营任务的协调中心。NCTOC利用对攻击者意图和技术的独特见解,为国家最关键的网络制定和实施战略防御措施。

NCTOC为与美国网络司令部装备齐全的合作团队提供安全资源,  是保卫非保密国防部信息网络(DoDIN)的 "前线",DoDIN网络涵盖了从华盛顿特区的办公楼到阿富汗战场的300万用户。

这个巨大的网络每天都会遇到各种各样的网络威胁。根据NCTOC多年的经验,NCTOC为那些在安全运营中心(SOC)运营或监测的人提供了以下5个关键原则:

建立一个可防御的边界

在过去的几年里,国防部的网络基础设施已经得到了整合,因此不再是数百个与互联网直接连接的飞地。DoDIN的流量是通过数量非常有限的面向互联网的网关进行路由,这导致了对超过99%网络流量的集中式覆盖,提高了检测威胁的能力,同时也减少了对手可能利用的潜在攻击面。

一个可防御的边界还应该利用已知指标、启发式方法和行为分析的组合,部署在一系列对应主机和网络的平台上,实时查看网络活动并采取调查响应行动。

确保网络的可见性

网络的持续监控必须包括网络的所有层面,包括网关、节点和终端。如果一个规则集在网络层面发出告警,分析人员必须能够准确定位并隔离产生该活动的实际终端主机,这一过程的效率应该以分钟为单位,而不是以小时为单位。

此外,随着大多数网络流量的加密,运营中心必须构建解决方案,以确保对混入正常活动的复杂威胁具备可见性

使用安全加固的最佳实践

无法进行软硬件更新的脆弱网络,以及不进行安全合规的做法,使用供应商不再更新维护支持的软件等,是导致安全事件出现的最常见原因。

当一个漏洞被披露或一个补丁被发布时,在24小时内,国防部的资产就会被恶意行为者扫描到相关未打补丁的服务器因此,及时的应用更新以减少漏洞暴露,并最大限度地提高软件的可靠性和保护性,仍然是NCTOC可以倡导的最佳防御做法之一。

使用全面的威胁情报和机器学习

建议根据网络环境定制威胁情报源。例如,国防部网络不会受到医院网络可能遇到的同样网络威胁活动的影响NCTOC应该了解已经到位的防御架构,确定哪些网络资产可能对于攻击者最有价值,为这些资产相应地定制威胁情报源。

此外,当面临大量的威胁情报和网络活动告警时,NCTOC应该采用数据科学和机器学习的概念,迅速将这一数据提炼成可操作运营的结果。安全团队应该具备响应已知告警的能力,并主动地在整个网络中寻找以前未被发现的威胁活动。

创造一种好奇心的文化

基于告警工单完结速度的工作KPI指标可能会产生误导,事件响应者可能只会专注于如何快速结束告警,而不是寻求对威胁活动的完全了解。

事件响应者还要时刻面临着新的挑战,需要预测对手可能会对响应动作所实施的新反应,因为持续的对手被踢出后会继续探寻进入相关网络的新入口点

NCTOC应始终努力采取先发制人的防御行动,并在其团队中注入创新心态,学习新的安全对抗技术。


文章来源: https://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=2649908106&idx=6&sn=95c5420e29b0f46bcd16558d9c7a5463&chksm=f18eea8cc6f9639ac7499f1da2873af9ef39cc74cfcad3855e58416d95eee94852cea406cad2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh